problem z qooqlle

[rafalo]

Witam,

mam problem z infekcją qooqlle, zmieniona strona startowa przeglądarki, wyłączony adblock - problem pojawia się po każdym uruchomieniu komputera.

 

Proszę o pomoc.

 

Raporty poniżej.

OTL.Txt

Extras.Txt

[picasso]

Przeczytałeś zasady działu? Brakuje raportu z GMER. Następnie: ktoś tu kombinował via Avenger, rzecz jasna całkowicie nieskutecznie. A "Twoja" wersja Qooqlle to kolejna modyfikacja, nieco inna postać niż u reszty. Już chyba zdajesz sobie sprawę jak to nabyłeś = kodeki z lewego źródła (torrent). Przechodząc do usuwania:

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-2607256538-2259513182-3634248968-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
O3 - HKU\S-1-5-21-2607256538-2259513182-3634248968-1000\..\Toolbar\WebBrowser: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - No CLSID value found.
O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe ()
O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
[2010-10-19 19:07:49 | 000,003,803 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\MyHeritage.xml
 
:Files
C:\Users\Msi\AppData\Local\Temp*.html
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Komputer będzie restartował. Po restarcie zostanie podany log z tego działania.

 

2. Pozbądź się tych torrentowych kodeków. Odinstaluj Theorica Divx ;-) Codecs. O ile już tego nie wyrzucałeś. Jest jednak katalog na dysku:

 

[2011-03-01 02:20:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs

3. Wykonujesz nowy zestaw logów OTL opcją Skanuj. Dołącz i log powstały z usuwania w punkcie 1.

 

 

 

.

[rafalo]

Masz w 100% rację, zgubiła mnie słabość do Hous'a, pojawił się nowy odcinek z kodekiem ... i rozum mi się wyłączył ...

 

W załączniku wyniki po wykonaniu skryptu.

 

Mam w systemie zainstalowany antywir z microsoftu essential, co jeszcze zainstalować aby w przyszłości nie doszło do podobnych infekcji ... pomijam moja oczywistą winę.

po wykonaniu skryptu.txt

po skrypcie OTL.Txt

po skrypcie Extras.Txt

gmer.txt

[picasso]

Sprawa pomyślnie przeprowadzona. Objawy powinny ustąpić w Firefox i Internet Explorer.

 

1. Nie zauważyłam na liście programów przeglądarki Google Chrome. Skrypty OTL nie potrafią jej konfigurować. Do wykonania ręcznie: KLIK.

 

2. W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę programu, szczątki po Avenger i OTL jako taki.

 

3. Adobe Reader 9.4.2 do zastąpienia przez najnowszy: INSTRUKCJE.

 

4. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

Mam w systemie zainstalowany antywir z microsoftu essential, co jeszcze zainstalować aby w przyszłości nie doszło do podobnych infekcji ... pomijam moja oczywistą winę.

 

Zapewne rolę tu odegrałby jakiś moduł analizy zachowawczej, wstrzymanie zadania na podstawie oceny zachowań procesów. Sądzę, że nie ma co przesadzać. Rozumu użytkownika nic nie zastąpi.

 

Do swojego Windows 7 z Microsoft Security Essentials możesz jeszcze ewentualnie dorzucić darmowe SpyShelter Personal Free (HIPS + antykeylogger) oraz Malwarebytes' Anti-Malware (skaner na żądanie). MBAM adresuje usuwanie Qooqlle, tylko z tego co zaobserwowałam na forum, nie wszystkie wersje.

Są też antywirusy w chmurze i mogą one stanowić uzupełnienie do bardziej tradycyjnego rozwiązania. Przykładem jest darmowa Panda Cloud Antivirus.

 

 

 

.

[rafalo]

Wszystko pięknie działa, przetestuję oprogramowanie podane powyżej.

 

Dziękuję pięknie za pomoc.